- •Список сокращений
- •Введение
- •1 Аналитическая часть
- •1.1 Описание предприятия
- •1.2 Описание хранилища данных оао «Ростелеком»
- •1.3 Классификация испДн
- •1.4 Угрозы безопасности пДн
- •1.5 Описание модели угроз
- •1.6 Модель нарушителя в испДн
- •1.7 Анализ рисков
- •2 Конструкторская часть
- •2.1 Техническое задание
- •2.2 Организационные мероприятия по защиты информации в ис хранилища данных оао «Ростелеком»
- •2.3 Физические мероприятия по защите информации в ас
- •2.4 Система охранно-пожарной сигнализации
- •2.5 Программно - аппаратные средства защиты пд в испДн
- •2.5.1 Обзор рынка программно - аппаратных средств защиты от нсд
- •Сзи «Страж nt (версия 2.5)»
- •Аккорд-амдз
- •Аккорд nt/2000 V. 3.0.
- •Ксзи «панцирь-с»
- •Secret Net 5.0-с(сетевой вариант)
- •Сзи "Блокпост-2000/xp"
- •2.5.2 Выбор программно-аппаратного средства защиты от нсд
- •2.5.3 Межсетевые экраны
- •2.5.3 Обзор рынка и выбор средства антивирусной защиты
- •2.5.4 Защита базы данных
- •Безопасность жизнедеятельности
- •Анализ помещения, где располагается рабочее место начальника вц
- •Анализ организации рабочего места начальника вц
- •Анализ освещения рабочего места начальника вц
- •Анализ микроклимата
- •Анализ уровня шума и вибраций
- •Анализ электробезопасности
- •Анализ пожарной безопасности
- •Расчет естественного бокового освещения
- •Рекомендации по охране труда
- •Заключение
- •Список литературы
- •Приложение
1.3 Классификация испДн
В целях дифференцированного подхода к обеспечению безопасности ПДн в зависимости от объема обрабатываемых ПДн и угроз безопасности жизненно важным интересам личности, общества и государства оператором ИСПДн проводится классификация ИСПДн в соответствии с «Порядком проведения классификации информационных систем персональных данных».
Порядок определяет проведение классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств (далее - информационные системы).
При проведении классификации информационной системы учитываются следующие исходные данные:
а) категория обрабатываемых в информационной системе персональных данных - Xпд:
категория 1: персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2: персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3: персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4: обезличенные и (или) общедоступные персональные данные;
б) объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) - Xнпд:
1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
в) заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе:
Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
г) структура информационной системы:
автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).
д) наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена (имеющие подключения / не имеющие подключений);
е) режим обработки персональных данных (однопользовательские / многопользовательские);
ж) режим разграничения прав доступа пользователей информационной системы (без разграничения прав доступа / с разграничением прав доступа);
з) местонахождение технических средств информационной системы (в пределах Российской Федерации / за пределами Российской Федерации).
По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:
класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
Класс информационной системы определяется в соответствии с таблицей:
|
Хпд \ Хнпд |
3 |
2 |
1 |
|
категория 4 |
К4 |
К4 |
К4 |
|
категория 3 |
КЗ |
КЗ |
К2 |
|
категория 2 |
КЗ |
К2 |
К1 |
|
категория 1 |
К1 |
КЗ |
К1 |
В рамках проведенного обследования ИСПДн была получена следующая информация:
Перечень обрабатываемых персональных данных – фамилия, имя, отчество, паспортные данные, дата рождения, место рождения, домашний адрес, телефон, сведения, необходимые для предоставления льгот.
Категория обрабатываемых ПДн – персональные данные, позволяющие идентифицировать субъекта персональных данных, Xпд – 3.
Объем обрабатываемых ПДн – в ИСПДн одновременно обрабатываются ПДн от 1000 до 100 000 субъектов ПДн, Xнпд – 2.
Заданные оператором характеристики безопасности ПДн, обрабатываемых в ИСПДн – ИСПДн относится к специальным ИСПДн (необходимо обеспечение конфиденциальности, целостности, доступности обрабатываемых ПДн). Нарушение конфиденциальности, целостности или доступности может повлечь негативные последствия для субъекта персональных данных.
Структура ИСПДн – распределенная ИСПДн.
Наличие подключений ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена – имеет подключения к сетям связи общего пользования и сетям международного информационного обмена, так как доступ пользователям предоставляется через ММСПД. ММСПД обеспечивает транспорт не только трафика ИСПДн, но и трафика клиентов (абонентов) и является сетью связи общего пользования.
Режим обработки ПДн – многопользовательская ИСПДн.
Режим разграничения прав доступа пользователей ИСПДн – ИСПДн с разграничением прав доступа.
Местонахождение технических средств ИСПДн – ИСПДн, все технические средства которой находятся в пределах РФ.
По этим данным ИСПДн филиал в РМЭ ОАО «Ростелеком» присвоил класс К3. Но, поскольку ИСПДн имеет подключения к сетям связи общего пользования и сетям международного информационного обмена, я рекомендую присвоить ИСПДн класс К2.